Studying •• 📝

Malware Analysis Series (MAS) – Article 9

Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MacOS/iOS 내용의 아티클 8은 잠시 미뤄두고 9번째 아티클부터 공부해보겠습니다. [Introduction]악성코드 분석 시리즈(MAS)의 9번째 아티클에 오신 것을 환영합니다. 이번 아티클에서는 윈도우 실행 파일로 돌아와서 PE 포맷뿐만 아니라 일반적인 쉘코드(shellcode)를 다뤄보겠습니다.요즘은 Sliver, Brute Ratel, Havoc, Covenant, Empire, Cobalt Strike 같은 수십 가지의 C2 프레임워크가 있습니다. Cobalt Strike는 실제 red team operation에..

Malware Analysis Series (MAS) – Article 7

Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 7번째 아티클입니다. [Introduction]악성 PE 바이너리를 분석할 때 사용하는 개념, 기법 그리고 실질적인 절차들을 이번 7번째 악성코드 분석 시리즈(MAS)에서 계속해서 살펴보겠습니다.이번에는 최근 몇 년간 여러 차례 업데이트된 복잡한 뱅킹 트로이목마인 Dridex를 분석할 것입니다. 다른 악성코드와 마찬가지로 Dridex는 자격증명(credental) 정보를 탈취하고(kelogger 행위), 암호화된 C2 서버를 통해 공격자에게 이를 전송합니다. 대부분의 경우 악성 문서에 첨부된 파일로 배포되지만,..

Alexandre Borges의 블로그 Exploit Reversing의 악성코드 분석 시리즈 'Malware Analysis Series(MAS)'를 번역하여 공부해보겠습니다. MAS 시리즈의 6번째 아티클입니다. [Instruction]6번째 아티클에서는 계속해서 악성 PE 바이너리를 분석할 때 사용되는 개념, 기법, 그리고 실질적인 절차들을 살펴보겠습니다. 지금껏 그랬던 것처럼 분석할 모든 악성코드 샘플은 Triage, Malware Bazaar, VirusTotal, Malshare, Polyswarm 등 잘 알려진 샌드박스 서비스에서 구할 수 있습니다. 이 글에서는 악성코드를 분석하기 위해 사용되는 절차들, 즉 바이너리에 대한 기본 정보를 얻는 것부터 바이너리 자체에서 핵심 정보를 추출하는 과..

계속 이어서 BumbleBee 악성코드를 분석해보겠습니다.샘플 해시(SHA256)는 57c4bdf0a644df4fd39f3d73d4570e6c88d8b7239ab4a395dba441ab15a5024f입니다. 이번 포스팅에서는 저번에 잠시 살펴봤던 ab_DetectVirtualMachines 서브루틴부터 자세히 분석해보겠습니다. line 20에서 호출하는 서브루틴 sub_180050460을 따라가보면 COM과 관련된 여러 API들이 보입니다.CoInitializeEx, CoInitializeSecurity, CoCreateInstance, CoUninitialize, CoSetProxyBlanket 그중 CoCreateInstance API 호출 시의 파라미터를 살펴보겠습니다. CoCreateIns..

오늘은 COM(Component Object Model) 개념에 대해 알아보겠습니다. ○ COM(Component Object Model) 개념Microsoft에서 개발한 소프트웨어 컴포넌트 기반의 인터페이스 표준입니다.일반적으로 클라이언트/서버, RPC, 분산 객체와 같은 분산 컴퓨팅 모델에서 작동하도록 설계되었습니다. 어떤 언어로든 COM 객체를 쉽게 작성할 수 있고, 그 기능을 일반 프로그램에서 사용할 수 있습니다. ○ COM 구조의 핵심 요소COM 객체실제 동작하는 인스턴스(instance)를 의미합니다.최소한 IUnknown 인터페이스를 구현하고 있는 컴포넌트 단위의 객체입니다.IUnknown은 모든 COM 인터페이스의 기반이 되는 인터페이스이므로 COM의 모든 객체가 반드시 구현해야되는..